Beitrag

IT-Sicherheitskatalog auf der E-world Mi 13.01.2016

Vom eIDAS und anderen Tieren

Sonntag-Nachmittag. Mein 6-jähriger Sohn fragt, was ich denn da schreiben würde. Ich antworte, dass es um eIDAS geht. Er meint, er hätte gerade einen eIDAS durch den Garten hüpfen sehen. Abseits der Frage, ob die Antwort jetzt pädagogisch wertvoll war – Motto: „immer bei der Wahrheit bleiben“ –, wird die Frage, wer oder was eIDAS denn nun ist, demnächst an Bedeutung gewinnen.

Was die Konsequenzen angeht, bietet sich vielleicht ein Vergleich zum Datenschutz an: Das, was in Zukunft dem Bundesdatenschutzgesetz in Bezug auf die EU-Datenschutz-Grundverordnung blüht, steht analog dem deutschen Signaturgesetz bevor – die Ablösung durch eIDAS.

Was ist denn nun eIDAS?

Bevor Sie googlen, hier die Antwort: eIDAS steht für „elektronische Identifizierung und Vertrauensdienste für elektronische Transaktionen“.

Aha.

Die EU-Verordnung 2014/910 vom Juli 2014 regelt

  • elektronische Identifizierungsmittel für natürliche und juristische Personen,
  • Vorschriften für Vertrauensdienste – und insbesondere elektronische Transaktionen und gibt
  • den Rechtsrahmen für elektronische Signaturen, Siegel, Zeitstempel und Dokumente sowie Dienste für Zustellung elektronischer Einschreiben und zertifizierte Dienste für Website-Authentisierung vor.

eIDAS gilt für elektronische Identifizierungsdienste und Vertrauensdiensteanbieter. Vertrauensdienste sind global u.a. für die Erstellung, Überprüfung und Validierung elektronischer Signaturen, Siegel, Zeitstempel, Website-Zertifikaten zuständig.

Hierin finden wir dann doch wieder bekannte Themen aus dem Signaturgesetz wieder: elektronische Signaturen, Zertifikate oder Zeitstempel.

Ziel soll sein, elektronische Transaktionen EU-weit zu vereinfachen. Deshalb wird ein EU-weit einheitliches Niveau geschaffen. Das, was wir von Signaturgesetz und -verordnung kennen, geht darin auf. eIDAS geht aber noch einen Schritt weiter und regelt weitere Dienste und Services: beispielsweise elektronische Siegel für juristische Personen.

In einigen Punkten gilt es aber auch Abschied vom Altbekannten aus SigG und SigV zu nehmen: So gibt es zur Zeit keine Prüfanforderungen an Signaturanwendungskomponenten, die ja nach SigG und SigV gemäß Common Criteria von einer Prüfstelle evaluiert und  von einer Bestätigungsstelle bestätigt werden müssen.

eIDAS ist in diversen EU-Verordnungen normiert: eIDAS selber in der 910/2014. Darüber hinaus werden diverse Durchführungs- und delegierte Rechtsakte (sogenannte implementing acts bzw. delegates acts) für weitere Anforderungen erlassen. Einen Teil davon gibt es schon, beispielsweise zu Vertrauenslisten, Formaten für fortgeschrittene Signaturen und Siegel, zur Notifizierung oder für das EU-Vertrauenssiegel. Andere Rechtsakte werden noch kommen. Und noch vorhandene Regelungslücken schließen – etwa zu den erwähnten Prüfanforderungen für Produkte.

Was aber geregelt ist, sind die Anforderungen an die Vertrauensdiensteanbieter. Auch geregelt ist, wer diese prüfen wird: Dazu sind einige ETSI-Normen erlassen worden.

ETSI? Noch ein Tier?

ETSI steht für Europäisches Institut für Telekommunikationsnormen und ist eine der europäischen Standardisierungsinstitution. Durch ETSI sind u.a. geregelt: Anforderungen an Vertrauensdiensteanbieter, die Zertifikate herausgeben, Zeitstempel- oder Zertifizierungsdienste anbieten. Hierin ist auch geregelt, wie Prüfungen dieser Dienste zu erfolgen haben und wie eine Konformität dann bestätigt werden kann.

Und hier wird es dann wieder vertraut: Die ETSI EN 319 403 gibt die Anforderungen an die Konformitätsbestätigungsstellen (Conformity Assessment Bodies – CABs), ergo Zertifizierungs- oder Bestätigungsstellen, vor. Bislang den Managementsystemnormen zugehörig, wechseln diese nun in den Bereich der Zertifizierung von Produkten und Dienstleistungen. Zuständig wird für Deutschland die Deutsche Akkreditierungsstelle (DAkkS) sein.

eIDAS, ETSI. Die Zukunft wird spannend.

Noch Fragen? Sprechen Sie uns gerne an

Von Dr. Sönke Maseberg in der Rubrik cert News